【IT168 评论】感知和预见是网络安全行业在今年涌现出得一股浪潮,安全的可视化和可预知性让众多从业者摩拳擦掌,跃跃欲试。一众基于传统安全技术的更新颖的安全解决方案应用而生,然而这一切都来源于新的行业风向标-威胁情报。
乍看之下,威胁情报本身并不是一个可以具体化的产品,以常理而论,威胁情报更像是安全行业一个神秘的新概念,或者是一些黑客拍拍脑袋编纂出来的一个噱头。威胁情报本身不是无本之木无源之水,每年的RSA都会为安全行业引入一两个焦点,而今年的核心词汇莫过于威胁情报。
网络安全行业本身的特殊性使得其技术演进和行业共识也呈现一定的趋势,在安全技术慢慢浮出水面并逐渐被公众感知和重视的今天,安全已经逐渐成为政府和企业乃至个人的刚需,而如何将安全实质化则是运维人员一直苦恼的问题,安全无法量化,无法预知,从安全的角度而言任何一个系统都是可以被攻破的,甚至物理隔离也不能完全的解决问题,在安全的边界变得日益模糊的今天威胁情报所带来的是从业者对于技术本身无法把控的一个侧边反应,当安全防护已经不再停留在传统的你一拳我一脚的攻防上,未来的安全技术一定是具备感知能力,虽然安全本身不是绝对的,但是情报的存在即是让关注安全的主体能够获得主动权,处于相对安全的环境中。
IT行业对威胁情报的“泛安全”态度
威胁情报作为安全业界焦点词汇已经被从业者广泛引用,然而威胁情报究竟是一个概念还是成熟的解决方案?以0day攻击为代表的未知威胁改变了传统安全态势,威胁情报是通过大数据分析形成的智能分析,还是安全解决方案的智能防御机制,亦或是针对特定安全时间的态势分析?各家安全厂商对威胁情报的看法和应用如何?针对这些问题,笔者在论坛中广泛征集时下IT从业者的观点。
不少运维人员对于安全行业新概念并不是十分敏感,“另辟蹊径”的安全技术本身就让运维人员很难感知,因此威胁情报更是鲜为人知。从业者的认知也停留在对于传统安全攻防技术中,大部分从业者由此共论:“威胁情报形象地说,就是我们经常可以看到的安全预警通告、漏洞通告、威胁通告等等,这些都属于典型的安全威胁情报。而随着新型威胁的不断增长,也出现了新的安全威胁情报,例如僵尸网络地址情报、0day漏洞信息、恶意URL地址情报等等。这些情报对于防守方进行防御十分有帮助,但是却不是单一的一个防守方自身能够获取和维护得了的。因此,现在出现了安全威胁情报市场,有专门的人士、公司和组织建立一套安全威胁情报分析系统,获得这些情报,并将这些情报卖给作为防守方的企业和组织。”
由此看来,漏洞、恶意地址、恶意软件已然是IT行业对安全本身最直接的感知,而所谓基于大数据的威胁情报如何让用户感知成为了时下第一要务。这也需要众多安全厂商通过建立联盟或者是于互联网公司和数据公司通力合作才能实现。否则,威胁情报不免有博眼球的噱头之嫌。
安全从业者的威胁情报论
对安全行业了解较深的观点则要更为客观:威胁情报就是帮助企业发现威胁,并进行处置。威胁情报的定位不是基于某一研究某一事件的具体方法和手段,而是能够解决安全事件的基础性资源。例如从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告,僵尸网络地址情报、0day漏洞信息、恶意URL地址情报等等。这些都属于典型的安全威胁情报。例如国内的乌云漏洞平台。未来安全行业,将建立一套安全威胁情报分析系统,获得这些情报,并将这些情报卖给作为防守方的企业和组织。通过获取到的威胁情报,依靠专业的安全分析团队,分析之后形成情报的处置决策,并通过网络安全设备或终端上的安全软件来执行决策。在未来整个过程可以通过程序自动化完成。传统安全行业偏重于防守。互联网企业则是对抗。传统的防御和检测机制基本上以特则检测为主,对于0day攻击,可能无法提前获知特征信息,防守的策略不再奏效,“防范”为中心的策略已经过时。网络安全是对抗,不可能完全防范。
安全从业者表示,国内需要一个机构,不管是政府,或者民间组织,公益的或盈利性质,将威胁情报统筹起来,构建威胁情报库。网络安全是全局性问题,任何一个网络安全问题都不能靠单一的部门来解决。只有各方联动,形成合作,提供更有价值的威胁情报信息,构建更有实用性的威胁情报库,才能为政府机构、安全厂商、企事业用户提供更好的支持。美国已经建立了优异威胁情报中心,360建立了国内首个威胁情报中心,基于已经形成的威胁情报,则可以进行一系列的应急响应。目前在威胁情报收集和利用方面,抑或是各个网络安全厂商,政府研究机构都是各自为战,没有将自己掌握的威胁情报共享,没有实现各方联动,未广泛合作。因此,威胁情报的分享和传递非常重要。在威胁情报方兴未艾的今天,威胁情报的利用还十分不足。
写在后面:自从威胁情报引入到安全行业,国内各大厂商已经纷纷响应,以互联网安全起家的360在着力于传统PC安全的同时已经进军企业安全市场,并通过一系列合作在各大安全市场攻城拔寨。BAT等互联网巨头在推动安全行业发展上策略各有不同,腾讯、百度都通过合作模式与传统安全企业合作,阿里则倾向于通过建立安全联盟从电商角度建立行业标准。在国家政策和互联网+、大数据、云计算等行业浪潮推动下,威胁情报显得如星芒与皓月争辉,然而安全就是如此,让安全受到重视或者是产生重大影响时安全的价值才得以体现,威胁情报的出现并不是一个噱头,尽管现如今看来感知安全是政府机构和企业内部需要把控的事情,但是随着互联网服务的日趋成熟,系统化、可视化的安全也将发挥不可估量的价值。
